Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

OpenNews: Отчет о проблемах безопасности при работе менеджеров пакетов в Linux, opennews (?), 15-Июл-08, (0) [смотреть все] а типа в генте всё гуд компилятсия рулед , анонимус (?), 13:22 , 15-Июл-08, (1) // Всё ровно так же - подменяется сервер обновлений, ебилд популярного приложения , Аноним (-), 13:34 , 15-Июл-08, (4) // Может я и параноик, но и я об этом задумывался, на мой взгляд если гентушники от, TTT (?), 15:14 , 15-Июл-08, (13) // плюсадиню, анонимус (?), 16:21 , 15-Июл-08, (20) Если PS гентушники более уязвимы ещё и для configure-троянов навроде сендмыльно, Michael Shigorin (ok), 17:37 , 15-Июл-08, (26) Для 100 защиты все-равно надо еще сорц глазами до компиляции читать еще, а вот , User294 (ok), 17:23 , 16-Июл-08, (43) Господа, с такой паранойей лучше вообще в сеть не выходить, Аноним (-), 13:24 , 15-Июл-08, (2) Ну насчет левых репозиториев и подмен - GPG сигнатуры никто не отменял, RPM напр, ifel (??), 13:28 , 15-Июл-08, (3) // Подмена сервера обновлений Сделал апдейт базы менеджера пакетов не с того серв, Аноним (-), 13:36 , 15-Июл-08, (5) // Не, если стоит проверка signatures, то пакет нах пошлет Если все полностью меня, ifel (??), 13:53 , 15-Июл-08, (8) короче, коммерческие линуксы рулят у них там всё по https и всё с паролями и т п, Аноним (6), 13:45 , 15-Июл-08, (6) Не скажу за перечисленные RPM-based дистрибутивы, но насколько я понял товарищи , mend0za (?), 13:47 , 15-Июл-08, (7) // Согласен по всем пунктам По бла-бла-бла, а не исследование вдвойне По RPM bas, ifel (??), 13:56 , 15-Июл-08, (9) Диагностика - половина лечения Народ осознал наличие проблемы и говорит, что на, Аноним (-), 13:56 , 15-Июл-08, (10) MD5 подделать можно , Pilat (ok), 14:08 , 15-Июл-08, (12)   // подробнее пожалуйста -- и скажите сразу сколько нужно времени чтобы подделать ли, pavel_simple (??), 15:34 , 15-Июл-08, (14)   // гугл поможет тебе осознать, что md5 можно подделать в короткие сроки, Aquarius (?), 15:46 , 15-Июл-08, (16)   несколько миллисекунд Подробности Вы найдёте в гугле без труда , Pilat (ok), 15:58 , 15-Июл-08, (18)   вы оба я смотрю особенно хорошо изучили google -- тогда может скажите КАК это д, pavel_simple (??), 16:01 , 15-Июл-08, (19)   В Debian в файлах Release и Packages используется так же хеши, вычисленные по ал, Александр (??), 00:18 , 16-Июл-08, (33)   Решение простое - ставить из портов, обновленных portsnap При этом абсолютно вс, Аноним (6), 14:05 , 15-Июл-08, (11) // А как насчет обновления world через cvsup там ничего не проверяется , Shane (ok), 14:36 , 20-Июл-08, (46) Похоже, на сей раз ФриБСД сделала Линуксы Ну хоть по защищенности , Xavier (?), 15:41 , 15-Июл-08, (15) // не на сей, а во веки веков 8 , Aquarius (?), 15:52 , 15-Июл-08, (17) // Пусть почит с миром , Анонимус (?), 16:34 , 15-Июл-08, (23) ИМХО лучше скачивать потенциально дырявые обновления, чем не скачивать никаких , Анонимус (?), 16:34 , 15-Июл-08, (22) Защита репозитария - это конечно хорошо, но есть и другой аспект В FreeBSD есть , Осторожный (?), 16:41 , 15-Июл-08, (24) // Глупенький, о информативности пакетов никто не говорит Говорят о их подмене , Анонимус (?), 17:31 , 15-Июл-08, (25) // Авторы прогнали, все rpm подписаны и тот же yum вылетает на чужих пакетах, пока , fi (ok), 00:38 , 16-Июл-08, (35) Подменить самому, будучи рутом, и когда подменит кто-то другой - две большие раз, nuclight (ok), 21:59 , 27-Июл-08, (47) Вообще-то если обновление вышло, значит следует его ставить А в такой ситуации , Александр (??), 00:56 , 16-Июл-08, (37) glsa-check для gentoo , just_another_anonymous (?), 09:08 , 16-Июл-08, (40) См выше критику статьи и аналогичных криков гентушников однако, тоже линукс И, Michael Shigorin (ok), 17:45 , 15-Июл-08, (27) В смысле , Александр (??), 00:34 , 16-Июл-08, (34) По большому счёту надуманная проблема, хотя потенциально опасна в IPv4, если кто, Анонимус (?), 16:33 , 15-Июл-08, (21) // Вы невнимательно прочли даже то по существу, что было в статье Там было про злон, Michael Shigorin (ok), 17:47 , 15-Июл-08, (28) // Авторы статьи облажались - эта проблема была решена еще когда стали делать первы, fi (ok), 00:43 , 16-Июл-08, (36) // Если я правильно понял, то некоторая теоретическая опасность есть Даже если в д, Александр (??), 01:17 , 16-Июл-08, (38) И этот случай предусмотрен Например, в yum указывается не репозитарий, а список, fi (ok), 10:11 , 16-Июл-08, (41) такой бред ключи сравниваются в RPM не поставишь пока сам не нажмёшь то есть, Аноним (6), 18:14 , 15-Июл-08, (29) В общем понял - Линукс такойже дырявый как и Винда, тка что нечего время тратить, Анонимус (?), 21:30 , 15-Июл-08, (30) // Так и не трать И на новости про Linux тоже , anonymous (??), 23:12 , 15-Июл-08, (31) по-моему ты вообще ничего не понял, szh (ok), 23:32 , 15-Июл-08, (32) // Помоему вообще мало кто что понял , Аноним (39), 03:10 , 16-Июл-08, (39) Насколько я понял из статьи, суть уязвимости в том что можно в репозиторий полож, Sarge (??), 12:16 , 16-Июл-08, (42) // SUSE открестились от этого http lists opensuse org opensuse-security-announce, fi (ok), 00:09 , 17-Июл-08, (44) // http www hughesjr com content view 22 1 , poni (?), 03:18 , 19-Июл-08, (45) 1,2,3,6,7,11,15,21,29,30,42

Сообщения

[Сортировка по времени | RSS]

	12. "Отчет о проблемах безопасности при работе менеджеров пакетов..."	+/–
	Сообщение от Pilat (ok), 15-Июл-08, 14:08
	>В копиях официальных зеркал Debian содержится файлик Release с MD5 всех файлов >Packages, подписанный официальным ключём дебиановского архива. MD5 подделать можно.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	14. "Отчет о проблемах безопасности при работе менеджеров пакетов..."	+/–
	Сообщение от pavel_simple (??), 15-Июл-08, 15:34
	>>В копиях официальных зеркал Debian содержится файлик Release с MD5 всех файлов >>Packages, подписанный официальным ключём дебиановского архива. > >MD5 подделать можно. подробнее пожалуйста -- и скажите сразу сколько нужно времени чтобы подделать лишь 1 пакет
	Ответить | Правка | Наверх | Cообщить модератору

	16. "Отчет о проблемах безопасности при работе менеджеров пакетов..."	+/–
	Сообщение от Aquarius (?), 15-Июл-08, 15:46
	гугл поможет тебе осознать, что md5 можно подделать в короткие сроки
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Отчет о проблемах безопасности при работе менеджеров пакетов..."	+/–
	Сообщение от Pilat (ok), 15-Июл-08, 15:58
	>>MD5 подделать можно. > >подробнее пожалуйста -- и скажите сразу сколько нужно времени чтобы подделать лишь >1 пакет несколько миллисекунд. Подробности  Вы найдёте в гугле без труда.
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	19. "Отчет о проблемах безопасности при работе менеджеров пакетов..."	+/–
	Сообщение от pavel_simple (??), 15-Июл-08, 16:01
	вы оба я смотрю особенно хорошо изучили google? -- тогда может скажите КАК это делать если он ПОДПИСАН
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Отчет о проблемах безопасности при работе менеджеров пакетов..."	+/–
	Сообщение от Александр (??), 16-Июл-08, 00:18
	> MD5 подделать можно. В Debian в файлах Release и Packages используется так же хеши, вычисленные по алгоритмам SHA1 и SHA256 :-)
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема